审计内控18个指引
『壹』 内控标准是什么
简单来说就是国家发布的两套文件
企业内部控制规范
企业内控指引,包括应用、评价、和审计指引
这就是内控体系的标准
『贰』 企业内部控制审计指引实施意见的关于实施审计工作
注册会计师应当采用自上而下的方法选择拟测试的控制。
自上而下的方法始于财务报表层次,以注册会计师对内部控制整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。
自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。
本部分第(二)至(五)对自上而下的方法的各个步骤进行了规定,第(六)至(十三)对控制有效性测试进行了规定。 注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试。
1. 企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响:
(1)某些企业层面控制,如与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
2. 企业层面控制的内容
企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。
3. 对期末财务报告流程的评价
期末财务报告流程对内部控制审计和财务报表审计有重要影响,
注册会计师应当对期末财务报告流程进行评价。
期末财务报告流程包括:
(1)将交易总额登入总分类账的程序;
(2)与会计政策的选择和运用相关的程序;
(3)总分类账中会计分录的编制、批准等处理程序;
(4)对财务报表进行调整的程序;
(5)编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程:
(1)被审计单位财务报表的编制流程,包括输入、处理及输出;
(2)期末财务报告流程中运用信息技术的程度;
(3)管理层中参与期末财务报告流程的人员;
(4)纳入财务报表编制范围的组成部分;
(5)调整分录及合并分录的类型;
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。 注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。
如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。
如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相
关认定,应当依据其固有风险,而不应考虑相关控制的影响。
为识别重要账户、列报及其相关认定,注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素:
(1)账户的规模和构成;
(2)易于发生错报的程度;
(3)账户或列报中反映的交易的业务量、复杂性及同质性;
(4)账户或列报的性质;
(5)与账户或列报相关的会计处理及报告的复杂程度;
(6)账户发生损失的风险;
(7)账户或列报中反映的活动引起重大或有负债的可能性;
(8)账户记录中是否涉及关联方交易;
(9)账户或列报的特征与前期相比发生的变化。
在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源。
在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。
如果某账户或列报的各组成部分存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以考虑。 注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
(1)了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;
(2)验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节;
(3)识别被审计单位用于应对这些错报或潜在错报的控制;
(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。
注册会计师应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进行督导。
穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文件及重新执行等程序。
在执行穿行测试时,针对重要处理程序发生的环节,注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师不应局限于关注穿行测试所选定的单笔交易。 注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。
注册会计师应当对被审计单位的控制是否足以应对评估的每个
相关认定的错报风险形成结论。因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。
对特定的相关认定而言,可能有多项控制用以应对评估的错报风险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。
在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该项控制的分类和名称如何。 注册会计师应当测试控制设计的有效性。
如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表明该项控制的设计是有效的。 注册会计师应当测试控制运行的有效性。
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
如果被审计单位利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可以一并考虑第三方的专业胜任能力。
注册会计师获取的有关控制运行有效性的审计证据包括:
(1)控制在所审计期间的相关时点是如何运行的;
(2)控制是否得到一贯执行;
(3)控制由谁或以何种方式执行。 在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的审计证据。
与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的审计证据就越多。
下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
(4)相关账户或列报是否曾经出现错报;
(5)企业层面控制(特别是监督其他控制的控制)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;
(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。 注册会计师通过测试控制有效性获取的审计证据,取决于其实施
程序的性质、时间安排和范围的组合。此外,就单项控制而言,注册会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范围进行适当的组合,以获取充分、适当的审计证据。
注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。
测试控制有效性的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。
对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的审计证据。
注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。
注册会计师在测试控制运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。 对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。
单就内部控制审计业务而言,注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制
的期间保持一致。
注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当考虑下列因素以确定需要获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性。
针对所有重要账户和列报的每个相关认定,注册会计师应当获取控制有效性的审计证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。 对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应当在下列两个因素之间作出平衡,以确定测试的时间:
(1)尽量在接近基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。
整改后的内部控制需要在基准日之前运行足够长的时间,注册会计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保持内部控制审计业务时,注册会计师应当尽早与被审计单位沟通这一
情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。 注册会计师在测试控制的运行有效性时,应当在考虑与控制相关的风险的基础上,确定测试的范围(样本规模)。
注册会计师确定的测试范围,应当足以使其获取充分、适当的审计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
1.测试人工控制的最小样本规模
在测试人工控制时,如果采用检查或重新执行程序,注册会计师测试的最小样本量区间参见表1。
表1:测试人工控制的最小样本量区间 控制运行频率 控制运行总次数 测试的最小样本量区间 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大于250次 25-60 在运用表1时,注册会计师应当注意下列事项:
(1)测试的最小样本量是指所需测试的控制运行次数;
(2)注册会计师应当根据与控制相关的风险,基于最小样本量
区间确定具体的样本规模;
(3)表1假设控制的运行偏差率预期为零。如果预期偏差率不为零,注册会计师应当扩大样本规模;
(4)如果注册会计师不能确定控制运行频率,但是知道控制运行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规模。
2. 测试自动化应用控制的最小样本规模
信息技术处理具有内在一贯性。在信息技术一般控制有效的前提下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测试一次,即可得出所测试自动化应用控制是否运行有效的结论。
3.发现偏差时的处理
如果发现控制偏差,注册会计师应当确定其对下列事项的影响:
(1)与所测试控制相关的风险的评估;
(2)需要获取的审计证据;
(3)控制运行有效性的结论。
评价控制偏差的影响需要注册会计师运用职业判断,并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。
在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:
(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外一项控制所发现的,则可能意味着被审计单位存在有效的发现性控制。
(2)该偏差是与某一特定的地点、流程或应用系统相关,还是对被审计单位有广泛影响。
(3)就被审计单位的内部政策而言,该控制出现偏差的严重程度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍在编制财务报表之前得以执行,还是该项控制根本没有得以执行。
(4)与控制运行频率相比,偏差发生的频率大小。
由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。在按照表1所列示的样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考虑偏差的原因及性质,并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为25个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样本量至少为15个。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会计师可以得出控制有效的结论。 在基准日之前,被审计单位可能为提高控制效率、效果或弥补控制缺陷而改变控制。
对内部控制审计而言,如果新控制实现了相关控制目标,且运行了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设计和运行的有效性,则无需测试被取代的控制。
对财务报表审计而言,如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的
有效性。 注册会计师应当评估是否利用他人(包括被审计单位的内部审计人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。
注册会计师应当参照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观性,以确定可利用的程度。
在评价他人的专业胜任能力时,注册会计师应当考虑其专业资格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计师应当考虑是否存在某些因素,将削弱或者增强其客观性。
无论他人的专业胜任能力如何,注册会计师都不应利用客观程度低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不应利用专业胜任能力低的人员的工作。
被审计单位内部负责监督、稽核或合规工作的人员,如内部审计人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注册会计师有用。
注册会计师利用他人工作的程度还受到与所测试控制相关的风险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自对该项控制进行测试。
在识别、了解和测试企业层面控制时,注册会计师不得利用他人的工作。 如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。
注册会计师在对被审计单位内部控制的有效性发表意见时,不应在内部控制审计报告中提及服务机构注册会计师的报告。
『叁』 内控合规应用指引 管理风险有哪些
《企业内部控制配套指引》由21项应用指引(已发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有5项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。
控制活动类应用指引,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等9个指引。
控制手段类指引偏重于“工具”性质,往往涉及企业整体业务或管理。此类指引有4项,包括全面预算、合同管理、内部信息传递和信息系统等指引。
『肆』 《中央企业全面风险管理指引》中给出的内控措施有哪些
第三十四条企业制定内控措施,一般至少包括以下内容:
(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;
(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;
(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;
(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;
(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;
(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩;
(七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;
(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度;
(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。
第三十五条企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
『伍』 怎么记忆战略内控十八项指引
第1号——组织架构
第2号——发展战略
第3号——人力资源
第4号—回—社会责任
第5号——企业文化答
第6号——资金活动
第7号——采购业务
第8号——资产管理
第9号——销售业务
第10号——研究与开发
第11号——工程项目
第12号——担保业务
第13号——业务外包
第14号——财务报告
第15号——全面预算
第16号——合同管理
第17号——内部信息传递
第18号——信息系统
『陆』 财政部内控指引18项都有什么
内部环境类:
1、组织架构。
2、发展战略。
3、人力资源。
4、企业文化和社会责任等指引。
控制活动类:
5、资金活动。
6、采购业务
7、资产管理。
8、销售业务。
9、研究与开发。
10、工程项目.
11、担保业务.
12、业务外包.
13、财务报告。
控制手段类:
14、全面预算。
15、合同管理.
16、内部信息传递。
17、信息系统等指引。
4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。
其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;
企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。
(6)审计内控18个指引扩展阅读:
关于发展战略。发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。企业作为市场经济的主体,要想求得长期生存和持续发展,关键在于制定并有效实施适应外部环境变化和自身实际情况的发展战略。
调查中我们发现,有些企业缺乏明确的发展战略或发展战略实施不到位,结果导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力;也有些企业发展战略过于激进,脱离企业实际能力或偏离主业,导致过度扩张、经营失控甚至失败;
还有一些企业发展战略频繁变动,导致资源严重浪费,最后危及企业的生存和持续发展。为此,我们制定了发展战略应用指引,就上述重要风险有针对性地提出了应对措施。
一是,要求企业健全组织机构,在董事会下设立战略委员会,或指定相关机构负责发展战略管理工作。同时,对战略委员会的成员素质、工作规范也提出了相应要求。
二是,明确要求企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标,而不是靠拍脑袋,盲目制定发展战略。在制定目标过程中,应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。
三是,强调战略规划应当根据发展目标制定,明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。四是,要求董事会从全局性、长期性和可行性等维度,严格审议战略委员会提交的发展战略方案,之后再报经股东(大)会批准实施。
四是,从抓实施的角度,要求企业根据发展战略,制定年度工作计划,编制全面预算,将年度目标分解、落实,确保发展战略有效实施。
五是,设立了发展战略实施后评估制度,要求战略委员会加强对发展战略实施情况的监控,定期收集和分析相关信息。对发现明显偏离发展战略的情况,要求及时报告;对确需对发展战略作出调整的情形,明确要求企业要遵循规定的权限和程序调整发展战略。
『柒』 企业内部控制审计指引的财政部 证监会 审计署 银监会 保监会通知
关于印发企业内部控制配套指引的通知
财会〔2010〕11号
中直管理局,铁道部、国管局,总后勤部、武警总部,各省、自治区、直辖市、计划单列市财政厅(局)、审计厅(局),新疆生产建设兵团财务局、审计局,中国证监会各省、自治区、直辖市、计划单列市监管局,中国证监会上海、深圳专员办,各保监局、保险公司,各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司,各省级农村信用联社,银监会直接管理的信托公司、财务公司、租赁公司,有关中央管理企业:
为了促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为,根据国家有关法律法规和《企业内部控制基本规范》(财会〔2008〕7号),财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称企业内部控制配套指引),现予印发,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。
执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。
执行中有何问题,请及时反馈我们。
附件:1.企业内部控制应用指引
2.企业内部控制评价指引
3.企业内部控制审计指引
财政部 证监会 审计署 银监会 保监会
二〇一〇年四月十五日
『捌』 内部控制应用指引、评价指引和审计指引的关系是
内控应用指引是告诉你如何设置内部控制,评价指引是公司自己内部评价内控。审计指引是注册会计师进行内控审计时候看的。。
我给你一点书上的,讲的复杂,但就是我说的那回事。。哈哈
『玖』 企业内部控制审计指引的企业内部控制审计指引
第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,制定本指引。
第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条 注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;
(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。 第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一)与企业相关的风险;
(二)相关法律法规和行业概况;
(三)企业组织结构、经营特点和资本结构等相关重要事项;
(四)企业内部控制最近发生变化的程度;
(五)与企业沟通过的内部控制缺陷;
(六)重要性、风险等与确定内部控制重大缺陷相关的因素;
(七)对内部控制有效性的初步判断;
(八)可获取的、与内部控制有效性相关的证据的类型和范围。
第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
第九条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。
与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。
注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。 第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
第十一条 注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:
(一)与内部环境相关的控制;
(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制;
(三)企业的风险评估过程;
(四)对内部信息传递和财务报告流程的控制;
(五)对控制有效性的内部监督和自我评价。
第十二条 注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重要业务与事项的控制进行测试。
注册会计师应当关注信息系统对内部控制及风险评估的影响。
第十三条 注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否足以应对舞弊风险。
第十四条 注册会计师应当测试内部控制设计与运行的有效性。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。
如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
第十五条 注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。与内部控制相关的风险越高,注册会计师需要获取的证据应越多。
第十六条 注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
询问本身并不足以提供充分、适当的证据。
第十七条 注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:
(一)尽量在接近企业内部控制自我评价基准日实施测试;
(二)实施的测试需要涵盖足够长的期间。
第十八条 注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。
第十九条 在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考虑以前年度执行内部控制审计时了解的情况。 第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。
第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具有同样的效果。
第二十二条 表明内部控制可能存在重大缺陷的迹象,主要包括:
(一)注册会计师发现董事、监事和高级管理人员舞弊;
(二)企业更正已经公布的财务报表;
(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
(四)企业审计委员会和内部审计机构对内部控制的监督无效。 第二十三条 注册会计师完成审计工作后,应当取得经企业签署的书面声明。书面声明应当包括下列内容:
(一)企业董事会认可其对建立健全和有效实施内部控制负责;
(二)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;
(三)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;
(四)企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;
(五)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决;
(六)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。
第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。
注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就此以书面形式直接与董事会和经理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。
第二十六条 注册会计师应当对获取的证据进行评价,形成对内部控制有效性的意见。 第二十七条 注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素:
(一)标题;
(二)收件人;
(三)引言段;
(四)企业对内部控制的责任段;
(五)注册会计师的责任段;
(六)内部控制固有局限性的说明段;
(七)财务报告内部控制审计意见段;
(八)非财务报告内部控制重大缺陷描述段;
(九)注册会计师的签名和盖章;
(十)会计师事务所的名称、地址及盖章;
(十一)报告日期。
第二十八条 符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:
(一)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;
(二)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调事项段予以说明。
注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。
第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容:
(一)重大缺陷的定义;
(二)重大缺陷的性质及其对财务报告内部控制的影响程度。
第三十一条 注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。
注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见。
注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应当在内部控制审计报告中对重大缺陷做出详细说明。
第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别具体情况予以处理:
(一)注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明;
(二)注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明;
(三)注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。
第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。
注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,应当对财务报告内部控制发表否定意见。
注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见的内部控制审计报告。 第三十四条 注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。
第三十五条 注册会计师应当在审计工作底稿中记录下列内容:
(一)内部控制审计计划及重大修改情况;
(二)相关风险评估和选择拟测试的内部控制的主要过程及结果;
(三)测试内部控制设计与运行有效性的程序及结果;
(四)对识别的控制缺陷的评价;
(五)形成的审计结论和意见;
(六)其他重要事项。 1.标准内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内部控制的有效性。
一、企业对内部控制的责任
按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。
二、注册会计师的责任
我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
三、内部控制的固有局限性
内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。
四、财务报告内部控制审计意见
我们认为,××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
五、非财务报告内部控制的重大缺陷
在内部控制审计过程中,我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷,我们提醒本报告使用者注意相关风险。需要指出的是,我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。
××会计师事务所 中国注册会计师:×××(签名并盖章)
(盖章) 中国注册会计师:×××(签名并盖章)
中国××市 ××年×月×日
2. 带强调事项段的无保留意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内部控制的有效性。
[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。]
六、强调事项
我们提醒内部控制审计报告使用者关注,(描述强调事项的性质及其对内部控制的重大影响)。本段内容不影响已对财务报告内部控制发表的审计意见。
××会计师事务所 中国注册会计师:×××(签名并盖章)
(盖章) 中国注册会计师:×××(签名并盖章)
中国××市 ××年×月×日
3.否定意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内部控制的有效性。[“一、企业对内部控制的责任”至“三、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]
四、导致否定意见的事项
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
[指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]
有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,而上述重大缺陷使××公司内部控制失去这一功能。
五、财务报告内部控制审计意见
我们认为,由于存在上述重大缺陷及其对实现控制目标的影响,××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。
六、非财务报告内部控制的重大缺陷
[参见标准内部控制审计报告相关段落表述。]
××会计师事务所 中国注册会计师:×××(签名并盖章)
(盖章) 中国注册会计师:×××(签名并盖章)
中国××市 ××年×月×日
4.无法表示意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
我们接受委托,对××股份有限公司(以下简称××公司)××年×月×日的财务报告内部控制进行审计。
[删除注册会计师的责任段,“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]
三、导致无法表示意见的事项
[描述审计范围受到限制的具体情况。]
四、财务报告内部控制审计意见
由于审计范围受到上述限制,我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据,因此,我们无法对××公司财务报告内部控制的有效性发表意见。
五、识别的财务报告内部控制重大缺陷(如在审计范围受到限制前,执行有限程序未能识别出重大缺陷,则应删除本段)
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
尽管我们无法对××公司财务报告内部控制的有效性发表意见,但在我们实施的有限程序的过程中,发现了以下重大缺陷:
[指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]
有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,而上述重大缺陷使××公司内部控制失去这一功能。
六、非财务报告内部控制的重大缺陷
[参见标准内部控制审计报告相关段落表述。]
××会计师事务所 中国注册会计师:×××(签名并盖章)
(盖章) 中国注册会计师:×××(签名并盖章)
中国××市 ××年×月×日
『拾』 什么是审计指引
审计指引【正式稿】
第一章 总 则
第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,制定本指引。
第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计。
第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发布内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计和运行的有效性进行测试,以同时实现下列目标:
(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见;
(二)获取充分、适当的证据,支持其在财务报表审计中对控制的风险评估结果。
第二章 计划审计工作
第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一)与企业相关的风险
(二)相关法律法规和行业概况;
(三)企业组织结构、经营特征和资本结构等相关重要事项;
(四)企业内部控制最近发生变化的程度;
(五)与企业沟通过的内部控制缺陷;
(六)重要性、风险等与确定内部控制重大缺陷相关的因素;
(七)对内部控制有效性的初步判断;
(八)可获取的、与内部控制有效性相关的证据的类型和范围;
第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定针测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
第九条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及利用的程度,相应减少可能本应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。
与某项控制相关的风险越高,可利用程度就越低,注册会计师应当越多地亲自对该项控制进行测试。
注册会计师应当对发表的审计意见独立承担责任,其责任不应为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
参考资料:http://wenku..com/view/e04db989680203d8ce2f24af.html